近期,某省各醫(yī)療衛(wèi)生機(jī)構(gòu)接到緊急通知:目前已有多家醫(yī)院中勒索病毒��,要求做好勒索病毒防范工作�����。
勒索病毒����,是一種新型電腦病毒,主要以郵件�����、程序木馬�、網(wǎng)頁掛馬的形式進(jìn)行傳播。這種病毒利用各種加密算法對文件進(jìn)行加密����,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解�����。
從2017年永恒之藍(lán)病毒開始�����,大面積的醫(yī)院被攻擊導(dǎo)致系統(tǒng)藍(lán)屏�;2018年春節(jié)過后,某省兒童醫(yī)院文件被加密……近幾年,越來越多的醫(yī)療機(jī)構(gòu)受到勒索病毒的威脅和傷害�����,而勒索病毒版本迭代越來越快�,單純依賴主機(jī)殺毒軟件已收效甚微。
據(jù)《2018中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》顯示�,2018年CNCERT/CC全年捕獲勒索軟件近14萬個,全年整體增長明顯�����,尤其是2018年下半年活躍勒索軟件呈快速增長趨勢�����,且更新頻率和威脅嚴(yán)重程度大幅增加����,僅GandCrab全年就出現(xiàn)了約19個版本;同時(shí)可以看到���,勒索軟件傳播手段越來越豐富���,集成的漏洞也多種多樣�,從簡單的弱口令到影響廣泛的漏洞都可能成為勒索病毒快速傳播的途徑�。而且需要特別注意的是政府、醫(yī)療�����、教育等重要行業(yè)關(guān)鍵基礎(chǔ)設(shè)施成為勒索軟件攻擊的重點(diǎn)目標(biāo)���。
(以上部分內(nèi)容和圖片來自CNCERT/CC)
勒索病毒會帶來哪些影響
終端被勒索醫(yī)生、護(hù)士等工作站的終端被勒索����,可導(dǎo)致醫(yī)生無法正常開處方、下醫(yī)囑����,護(hù)士無法有效開展護(hù)理工作。
生產(chǎn)數(shù)據(jù)被勒索生產(chǎn)數(shù)據(jù)等患者信息數(shù)據(jù)被勒索���,大量暗網(wǎng)交易數(shù)據(jù)隨之產(chǎn)生��,不僅如此�,醫(yī)院信息系統(tǒng)也將隨之崩潰�,令大量病患滯留在醫(yī)院當(dāng)中。
數(shù)據(jù)庫被勒索數(shù)據(jù)庫文件存放著核心業(yè)務(wù)系統(tǒng)的數(shù)據(jù),一旦數(shù)據(jù)庫文件被加密勒索����,核心業(yè)務(wù)將被迫終止,造成業(yè)務(wù)癱瘓及敏感數(shù)據(jù)丟失�。
攻擊鏈分析
從醫(yī)療行業(yè)被入侵的方式上看,勒索病毒主要通過系統(tǒng)漏洞和端口爆破入侵��,然后利用永恒之藍(lán)漏洞工具包傳播���,一旦不法黑客得以入侵內(nèi)網(wǎng)�����,還會利用更多攻擊工具在局域網(wǎng)內(nèi)橫向擴(kuò)散�����。
常用攻擊入口:
防范建議:
-
盤點(diǎn)網(wǎng)絡(luò)上的所有資產(chǎn)和資源���;
-
定期進(jìn)行漏洞評估和配置管理��,以識別風(fēng)險(xiǎn)���,并及時(shí)修補(bǔ)系統(tǒng)漏洞,同時(shí)不要忽略各種常用服務(wù)的安全補(bǔ)?���。?/p>
-
采用身份管理方法來管理用戶��、帳戶�、權(quán)利和角色����,以預(yù)防不適當(dāng)?shù)挠脩粼L問����;
-
避免在服務(wù)器中使用過于簡單的口令;登錄口令盡量采用大小寫字母��、數(shù)字�、特殊符號混用的組合方式,并且保持口令有足夠的長度�;同時(shí)添加限制登錄失敗次數(shù)的安全策略并定期更換登錄口令;
-
關(guān)閉非必要的服務(wù)和端口�,如135、139��、445���、3389等高危端口����;
-
執(zhí)行訪問權(quán)限管理以保護(hù)敏感帳戶不被濫用����;
-
供應(yīng)商訪問時(shí)需使用安全的遠(yuǎn)程訪問技術(shù)���,以避免不受控制的資產(chǎn)被破壞;
-
確保安全防護(hù)設(shè)備及時(shí)更新���,在維護(hù)范圍內(nèi)并定期審查預(yù)期壽命��。
盛邦安全醫(yī)療行業(yè)勒索病毒檢測及防御解決方案(“哨兵”解決方案)
盛邦安全醫(yī)療行業(yè)勒索病毒檢測及防御解決方案(簡稱“哨兵”解決方案)��,采用“RayEYE” + “EDR” +“安全服務(wù)”的體系架構(gòu) ����,形成一套完整的醫(yī)療行業(yè)勒索病毒檢測及防御解決方案����,幫助醫(yī)療行業(yè)用戶全面監(jiān)測網(wǎng)絡(luò)環(huán)境中的流量�,并基于流量分析出網(wǎng)絡(luò)環(huán)境中存在的問題,同時(shí)加入EDR對終端主機(jī)進(jìn)行防護(hù)���,滿足客戶個性化需求�。不同的業(yè)務(wù)系統(tǒng)采用不同的防御策略����,利用自動化安全運(yùn)維系統(tǒng)���,降低工作復(fù)雜度,建立7*24小時(shí)的安全監(jiān)控體系���,并可以隨時(shí)以郵件/短信等形式獲知安全狀態(tài)���。
從流量監(jiān)控、文件沙箱檢測����,到終端防護(hù),盛邦安全結(jié)合安全服務(wù)�����,為醫(yī)療行業(yè)客戶提供從“端”到“面”����,從事先監(jiān)測、事中對抗到事后溯源的全面勒索病毒檢測及防御解決方案���,有效解決勒索病毒�����、APT攻擊等安全威脅與問題���。
異常流量檢測
通過部署EDR�����,有效防止漏洞利用�,結(jié)合RayEYE對流量中異常流量進(jìn)行分析�����,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的端口掃描�、弱口令利用、漏洞利用和網(wǎng)絡(luò)釣魚等攻擊行為��;
潛伏期檢測
可針對后門進(jìn)行檢測���,同時(shí)對文件的上傳下載進(jìn)行文件還原,多引擎交叉驗(yàn)證�,多維探針,并進(jìn)行沙箱驗(yàn)證等�;
變種檢測
將惡意代碼映射為灰度圖像,并提取其灰度圖像特征��;利用惡意代碼灰度圖像特征進(jìn)行聚類,并將聚類結(jié)果進(jìn)行惡意代碼家族標(biāo)注�����,并將惡意代碼海量樣本送入沙箱分析檢測����;
溯源取證
在現(xiàn)網(wǎng)中,RayEYE系統(tǒng)獲取實(shí)時(shí)網(wǎng)絡(luò)會話基因特征���,使用檢測模型對網(wǎng)絡(luò)流量進(jìn)行惡意代碼加密通訊檢測���,結(jié)合威脅情報(bào)精準(zhǔn)定位IP,同時(shí)通過安全服務(wù)對整體網(wǎng)絡(luò)進(jìn)行二次加固�����。
截止到目前�����,盛邦安全已幫助北京協(xié)和醫(yī)院�、阜外醫(yī)院等全國百余家醫(yī)療機(jī)構(gòu)順利完成網(wǎng)絡(luò)安全建設(shè)和等級保護(hù)整改工作,并緊跟當(dāng)下安全行業(yè)趨勢變化,不斷推出適合醫(yī)療行業(yè)應(yīng)用場景和需求痛點(diǎn)的安全產(chǎn)品��、解決方案和服務(wù)����,持續(xù)為醫(yī)療行業(yè)客戶的信息與網(wǎng)絡(luò)安全業(yè)務(wù)保駕護(hù)航。
